Einführung und Auswirkung der EU-DSGVO

image_print

Erfahrungen einer Genossenschaftsbank

Steffen Zink, Abteilungsleiter Bankservice, VR Bank Rhein-Neckar eG

Seit dem 25.05.2018 sind die neuen Datenschutzbestimmungen, die in der EU Datenschutz-Grundverordnung (DSGVO) zusammengefasst sind, in Kraft getreten. Bereits am 04.05.2016 wurde diese im Amtsblatt der Europäischen Union veröffentlicht und trat am 24.05.2016 ohne einer unmittelbaren Geltung in Kraft. Dies bedeutete, dass die Unternehmen zwei Jahre Zeit hatten, die Regelungen und Anordnungen entsprechend in ihren Häusern umzusetzen und zu etablieren. Bis zu diesem Zeitpunkt hatte das bisherige Bundesdatenschutzgesetz weiterhin Bestand.

Mit dieser Verordnung werden die Gesetze zum Datenschutz in Europa vereinheitlicht und die Rechte von Personen, die von einer Verarbeitung ihrer Daten betroffen sind, gestärkt. Zusätzlich werden die Vorschriften bezüglich der Frage präzisiert, wie Unternehmen ihre Datenverarbeitungsprozesse transparent beschreiben sollen. Dies bedeutet u. a., dass Unternehmen zu erweiterten Dokumentations-, Rechenschafts- und Transparenzpflichten verpflichtet sind.

Für die Finanzwelt war der Datenschutz kein neues Thema, da dieser bereits seit Jahren einen hohen Stellenwert eingenommen hatte. Dennoch brachte die neue Datenschutz-Grundverordnung eine Vielzahl an Neuerungen und Regelungen, die es bis zum Inkrafttreten im Mai 2018 umzusetzen galt.

Allensbach LogoFCH Compliance Logo

 

Insbesondere die Rechte der Betroffenen werden durch die Datenschutz-Grundverordnung gestärkt. Die wichtigsten Rechte sind das Auskunftsrecht, das Recht auf Berichtigung, das Löschrecht und das Widerspruchsrecht. Das zuvor geltende Bundesdatenschutzgesetz hatte bereits viele Punkte in Bezug auf den Schutz von Daten geregelt, die sich in der Datenschutz-Grundverordnung wiederfinden.

SEMINARTIPPS

(Un-)Abgestimmte Informationssicherheits- und Datenschutz-Tätigkeiten, 21.03.2019, Frankfurt/M.

7. Fachtagung Informationssicherheit, 20.–21.03.2019, Berlin.

Datenschutz Kompakt, 21.11.2019, Frankfurt/M.

Umsetzung der DSGVO in der VR Bank Rhein-Neckar eG

Bereits Anfang 2017 wurden in Zusammenarbeit mit dem externen Datenschutzbeauftragten und der Koordinationsstelle die ersten Meilensteine für das Umsetzungsprojekt zur DSGVO definiert. Die VR Bank hat einen externen Datenschutzbeauftragten bestellt und innerhalb der Bank eine Koordinationsstelle eingerichtet, die die Schnittstelle zum Datenschutzbeauftragten sicherstellt. Mit der Definition der ersten Meilensteine war klar ersichtlich, dass die DSGVO viele Aspekte im Hinblick auf die neue digitale Welt und der IT berücksichtigt. Daher wurde gleich zu Beginn der Informationssicherheitsbeauftragte mit in die Umsetzung miteinbezogen.

Auch der Vorstand wurde in die Umsetzung miteinbezogen (und bis zum Ende über den aktuellen Stand informiert) und ein entsprechendes Budget für das Umsetzungsprojekt beantragt.

Bereits seit 2012 hat die VR Bank einen Informationssicherheitsbeauftragten bestellt, der alle Prozesse und deren IT-Anwendungen der Bank hinsichtlich der Risiken zur IT bewertet und die Überwachung einer ordnungsgemäßen IT-Struktur und IT-Umsetzung übernimmt.

 

 

 

 

 

Diese Prozesse waren u. a. die Grundlage für die Bewertungen nach den neuen Definitionen der DSGVO.

Die Koordinationsstelle der Bank bewertete alle Prozesse hinsichtlich der neuen Datenschutz-Grundverordnung. Weiter wurden alle Verträge hinsichtlich der neuen Verordnung geprüft. Insbesondere die Verträge, die eine Auftragsverarbeitung beinhalteten. Die Verfahren der Bank wurden in enger Zusammenarbeit mit dem Datenschutzbeauftragen neu definiert und bewertet.

Mit voranschreitender Umsetzung wurden die Bereiche der Bank miteinbezogen, die von der Datenverarbeitung von Kunden am stärksten betroffen sind. Diese sind die Marktunterstützungsbereiche für Kredit- und Passivprodukte, das Prozessmanagement, die Personalabteilung, die Marketingabteilung und der Bereich Vertriebsunterstützung. Zusätzlich wurde der elektronische Vertrieb miteinbezogen.

Seitens des Rechenzentrums wurden ab 2018 die vorhandenen Anwendungen an die Anforderungen der DSGVO angepasst und den Banken im genossenschaftlichen Umfeld zur Verfügung gestellt. Auch durch den Verband wurde ein Umsetzungsleitfaden veröffentlicht, der bei der Umsetzung für die Genossenschaftsbanken Unterstützung leistete.

FILMTIPP

 

Datenschutz kompakt .

 

 

Im 1. Quartal 2018 wurden in Einzelgesprächen mit dem Datenschutzbeauftragten und den vorgenannten Bereichen die offenen Fragen hinsichtlich der neuen Vorgehensweisen geklärt. Insbesondere im Bereich Vertriebsunterstützung und Marketing kamen viele Fragen auf, da hier die DSGVO am stärksten die Rechte der Betroffenen sichert. Alle Prozesse, die mit Kundendaten zu tun haben, wurden angepasst. Alle Verträge mit externen Dienstleister der Bank wurden neu angefordert und nach den Vorgaben der DSGVO neu geregelt. Parallel zu den internen Umsetzungsaufgaben besuchte der Mitarbeiter der Koordinationsstelle Foren und Vorträge außerhalb des Genossenschaftsverbundes zu der neuen Datenschutz-Grundverordnung, um sich einen breiteren Wissenshorizont anzueignen.

Gegen Ende des Umsetzungsprozesses wurden die Marktbereiche miteinbezogen und über die anstehenden Veränderungen informiert. Dies wurde über entsprechende Informationsforen vorgenommen. Kurz vor Ende wurden alle organisatorischen Anweisungen auf die DSGVO angepasst. Weiter wurden das Datenschutzkonzept und die begleitenden Anweisungen neu erstellt und veröffentlicht.

Mit der Umsetzung, am 25.05.2018, wurde für alle Mitarbeiter der Bank eine FAQ-Datenbank eingerichtet, die mit den Fragen und den Antworten zu der neuen Datenschutz-Grundverordnung befüllt wurde. Somit hatten alle Mitarbeiter ein Nachschlagewerk zu den Fragen rund um die neue DSGVO.

PRAXISTIPPS

  • Mit der Einführung der neuen Datenschutz-Grundverordnung ist das Zusammenspiel von Informationssicherheit, Notfallplanung und Interner Revision sehr wichtig geworden. Daher sollte darauf geachtet werden, eine IT-Plattform zu finden, die zu den vorgenannten Themen miteinander vernetzt ist, um bei neuen Prozessen oder Veränderungen von Prozessen eine ausreichende Bewertung nach der DSGVO vornehmen zu können.
  • Weiter ist es wichtig, dass der interne Ansprechpartner der Bank, der als Schnittstelle zum Datenschutzbeauftragten fungiert, ausreichend zum Thema Datenschutz geschult ist und die Anforderungen zur Informationssicherheit und Notfallplanung kennt.
  • In regelmäßigen Abständen sollten sensible Bereiche, wie beispielsweise Personalabteilung, Marketing und Vertriebsunterstützung durch den Datenschutzbeauftragten sensibilisiert werden. Ergänzend hierzu sollten aktuelle Themen zum Datenschutz in regelmäßigen Abständen veröffentlicht werden.
  • Auch die Zusammenarbeit mit dem Risikocontrolling hinsichtlich der neuen und höheren Sanktionen sollte berücksichtigt werden. Entsprechend der Informationssicherheit sollten die erkannten und dokumentierten Risiken und die Schadensfälle in Bezug auf den Datenschutz hier einfließen.
  • Seitens der MaRisk und der BAIT gibt es ebenfalls viele Punkte, die hinsichtlich der DSGVO zu beachten sind. Hier ist es sinnvoll, die verantwortlichen Bereiche miteinzubeziehen und die Themen und Punkte miteinander abzugleichen.
  • Insgesamt bedeutet die neue Datenschutz-Grundverordnung, dass viele Prozesse neu zu regeln waren. Doch im Grunde ist es als selbstverständlich anzusehen, dass die Daten unserer Kunden und auch unserer Mitarbeiter zu schützen sind. Um dies zu gewährleisten, ist es den Aufwand immer wert.
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.